Amazon EKS Pod esecuzione del ruolo IAM - Amazon EKS

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Vuoi contribuire a questa guida per l'utente? Scegli il GitHub link Modifica questa pagina che si trova nel riquadro destro di ogni pagina. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amazon EKS Pod esecuzione del ruolo IAM

Amazon EKS Pod il ruolo di esecuzione è necessario per l'esecuzione Pods sull'infrastruttura AWS Fargate.

Quando il cluster crea Pods sull'infrastruttura AWS Fargate, i componenti in esecuzione sull'infrastruttura Fargate devono effettuare chiamate per AWS APIs conto dell'utente. In questo modo possono eseguire azioni come estrarre le immagini dei container da Amazon ECR o indirizzare i log ad altri AWS servizi. Amazon EKS Pod il ruolo di esecuzione fornisce le autorizzazioni IAM per eseguire questa operazione.

Quando create un profilo Fargate, dovete specificare un Pod ruolo di esecuzione per i componenti Amazon EKS eseguiti sull'infrastruttura Fargate utilizzando il profilo. Questo ruolo viene aggiunto a quello del cluster Kubernetes Controllo degli accessi basato sui ruoli (RBAC) per l'autorizzazione. Ciò consente a ciò kubelet che è in esecuzione sull'infrastruttura Fargate di registrarsi nel cluster Amazon EKS in modo che possa apparire nel cluster come nodo.

Nota

Il profilo Fargate deve avere un ruolo IAM diverso rispetto ai gruppi di EC2 nodi Amazon.

Importante

I container che circolano nelle Fargate Pod non posso assumere le autorizzazioni IAM associate a a Pod ruolo di esecuzione. Per consegnare i contenitori delle vostre Fargate Pod per accedere ad altri AWS servizi, è necessario utilizzare i ruoli IAM per gli account di servizio.

Prima di creare un profilo Fargate, devi creare un ruolo IAM con Amazon. EKSFargate PodExecutionRolePolicy

Verifica la presenza di un esistente configurato correttamente Pod ruolo di esecuzione

Puoi utilizzare la seguente procedura per verificare se il tuo account ha già un Amazon EKS configurato correttamente. Pod ruolo di esecuzione. Per evitare confusi problemi di sicurezza dei vicedirettori, è importante che il ruolo limiti l'accesso in base SourceArn a. È possibile modificare il ruolo di esecuzione secondo necessità per includere il supporto per i profili Fargate su altri cluster.

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra, seleziona Ruoli.

  3. Nella pagina Ruoli, cerca l'elenco dei ruoli per Amazon EKSFargate PodExecutionRole. Se il ruolo non esiste, consulta Creazione di Amazon EKS Pod ruolo di esecuzione per creare il ruolo. Se il ruolo è presente, selezionalo.

  4. Nella EKSFargate PodExecutionRole pagina Amazon, procedi come segue:

    1. Seleziona Autorizzazioni.

    2. Assicurati che la policy gestita da EKSFargatePodExecutionRolePolicyAmazon Amazon sia associata al ruolo.

    3. Scegli Trust relationships (Relazioni di trust).

    4. Seleziona Edit trust policy (Modifica policy di attendibilità).

  5. Nella pagina Edit trust policy (Modifica policy di attendibilità), verifica che la relazione di attendibilità contenga la policy seguente e una riga per i profili Fargate nel cluster. In tal caso, scegli Cancel (Annulla).

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

    Se la policy corrisponde ma non ha una riga che specifichi i profili Fargate sul cluster, potete aggiungere la riga seguente nella parte superiore dell'ArnLikeoggetto. Sostituiscilo region-code con la AWS regione in cui si trova il cluster, 111122223333 con l'ID dell'account e my-cluster con il nome del cluster.

    "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*",

    Se la politica non corrisponde, copia l'informativa precedente completa nel modulo e scegli Aggiorna politica. Sostituiscila region-code con la AWS regione in cui si trova il cluster. Se desideri utilizzare lo stesso ruolo in tutte le AWS regioni del tuo account, sostituiscilo region-code con*. Sostituisci 111122223333 con il tuo ID account e my-cluster con il nome del cluster. Se vuoi usare lo stesso ruolo per tutti i cluster dell'account, sostituisci my-cluster con *.

Creazione di Amazon EKS Pod ruolo di esecuzione

Se non disponi già di Amazon EKS Pod ruolo di esecuzione per il tuo cluster, puoi usare AWS Management Console o la AWS CLI per crearlo.

AWS Management Console
  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra, seleziona Ruoli.

  3. Nella pagina Ruoli, seleziona Crea ruolo.

  4. Nella pagina Seleziona un'entità attendibile, esegui le operazioni seguenti:

    1. Nella sezione Tipo di entità affidabile, scegli AWS servizio.

    2. Dall'elenco a discesa Casi d'uso per altri AWS servizi, scegli EKS.

    3. Scegli EKS - Fargate Pod .

    4. Scegli Next (Successivo).

  5. Nella pagina Add permissions (Aggiungi autorizzazioni), scegli Next (Successivo).

  6. Nella pagina Name, review, and create (Assegna un nome, rivedi e crea), esegui le operazioni seguenti:

    1. Per Role name (Nome ruolo), inserisci un nome univoco per il ruolo, ad esempio AmazonEKSFargatePodExecutionRole.

    2. In Aggiungi tag (facoltativo), aggiungi metadati al ruolo collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo di tag in IAM, consulta la sezione Applicazione di tag alle risorse IAM nella Guida per l'utente di IAM.

    3. Scegliere Crea ruolo.

  7. Nella pagina Ruoli, cerca l'elenco dei ruoli per Amazon EKSFargate PodExecutionRole. Seleziona il ruolo.

  8. Nella EKSFargate PodExecutionRole pagina Amazon, procedi come segue:

    1. Scegli Trust relationships (Relazioni di trust).

    2. Seleziona Edit trust policy (Modifica policy di attendibilità).

  9. Nella pagina Modifica policy di attendibilità, effettua le operazioni seguenti:

    1. Copia e incolla il contenuto seguente nel modello Modifica policy di attendibilità. Sostituisci region-code con la AWS regione in cui si trova il cluster. Se desideri utilizzare lo stesso ruolo in tutte le AWS regioni del tuo account, sostituiscilo region-code con*. Sostituisci 111122223333 con il tuo ID account e my-cluster con il nome del cluster. Se vuoi usare lo stesso ruolo per tutti i cluster dell'account, sostituisci my-cluster con *.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
    2. Scegli Aggiorna policy.

AWS CLI
  1. Copia e incolla il contenuto seguente in un file denominato pod-execution-role-trust-policy.json. Sostituisci region-code con la AWS regione in cui si trova il cluster. Se desideri utilizzare lo stesso ruolo in tutte le AWS regioni del tuo account, sostituiscilo region-code con*. Sostituisci 111122223333 con il tuo ID account e my-cluster con il nome del cluster. Se vuoi usare lo stesso ruolo per tutti i cluster dell'account, sostituisci my-cluster con *.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  2. Crea un Pod ruolo IAM di esecuzione.

    aws iam create-role \ --role-name AmazonEKSFargatePodExecutionRole \ --assume-role-policy-document file://"pod-execution-role-trust-policy.json"
  3. Allegare la policy IAM gestita da Amazon EKS richiesta al ruolo.

    aws iam attach-role-policy \ --policy-arn arn:aws: iam::aws:policy/AmazonEKSFargatePodExecutionRolePolicy \ --role-name AmazonEKSFargatePodExecutionRole